- はじめに
- CLI 設定ガイドについて
- センサーへのログイン
- センサーの初期化
- センサーのセットアップ
- 仮想センサーの設定
- インターフェイスの設定
- イベント アクション規則の設定
- シグニチャの定義
- 異常検出の設定
- グローバル相関の設定
- 外部製品インターフェイスの設定
- IP ロギングの設定
- インターフェイスのライブ トラフィックの表示とキャプチャ
- Attack Response Controller でのブロッキ ングとレート制限の設定
- SNMP の設定
- コンフィギュレーション ファイルの操作
- センサーの管理タスク
- AIM IPS の設定
- AIP SSM の設定
- IDSM2 の設定
- NME IPS の設定
- ソフトウェアの入手
- システム イメージのアップグレード、ダウン グレード、およびインストール
- システム アーキテクチャ
- シグニチャ エンジン
- トラブルシューティング
- CLIのエラー メッセージ
- オープン ソース ライセンス ファイル
- 用語集
- 索引
Cisco Intrusion Prevention System Sensor CLI コンフィギュレーション ガイド for IPS 7.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: IDSM2 の設定
- IDSM2 設定手順
- IDSM2 取り付けの確認
- サポートされている IDSM2 の最小構成
- Catalyst 6500 シリーズ スイッチにおける IDSM2 へのコマンド/コントロール アクセスの設定
- IDSM2 の検知モード
- 無差別モードの IDSM2 用の Catalyst 6500 シリーズ スイッチの設定
IDSM2 の設定
(注) すべての IPS プラットフォームで、許可される同時 CLI セッション数は 10 です。
この章では、IDSM2 の設定に固有の手順について説明します。ネットワークからトラフィックを受信するように IDSM2 を設定すると、侵入防御の設定ができるようになります。この章は、次の内容で構成されています。
•
「Catalyst 6500 シリーズ スイッチにおける IDSM2 へのコマンド/コントロール アクセスの設定」
• 「無差別モードの IDSM2 用の Catalyst 6500 シリーズ スイッチの設定」
• 「インライン モードの IDSM2 用の Catalyst 6500 シリーズ スイッチの設定」
• 「インライン VLAN ペア モードの IDSM2 用の Catalyst 6500 シリーズ スイッチの設定」
• 「EtherChannel ロード バランシングの設定」
• 「Catalyst および Cisco IOS ソフトウェアのコマンド」
(注) Catalyst 6500 シリーズ スイッチは、6500 シリーズ スイッチと 7600 シリーズ ルータの総称として使用しています。
IDSM2 設定手順
1. Catalyst 6500 シリーズ スイッチで、IDSM2 へのコマンド/コントロール アクセスを設定します。
3. モニタするトラフィックが IDSM2 に送信されるようにスイッチを設定します。
setup コマンドを実行して IDSM2 を初期化します。設定時に、IDSM2 のインターフェイスを設定できます。
6. ユーザの追加、信頼されるホストの追加など、その他の初期タスクを実行します。
9. IDSM2 をスムーズに実行し続けるためのその他のタスクを実行します。
10. 新しいシグニチャ アップデートおよびサービス パックで IPS ソフトウェアをアップグレードします。
11. 必要に応じて、アプリケーション パーティションのイメージおよびメンテナンス パーティションのイメージを再作成します。
• IDSM2 にセッション接続する手順については、「IDSM2 へのログイン」を参照してください。
• IDSM2 を初期化する手順については、 「IDSM2 の高度な設定」 を参照してください。
• IDSM2 へのコマンド/コントロール アクセスを設定する手順については、「Catalyst 6500 シリーズ スイッチにおける IDSM2 へのコマンド/コントロール アクセスの設定」を参照してください。
• インターフェイス設定の変更が必要な場合は、 「インターフェイスの設定」 を参照してください。
• サービス アカウントを作成する手順については、「サービス アカウントの作成」を参照してください。
• センサーを設定する手順については、 「センサーのセットアップ」 を参照してください。
• 侵入防御を設定する手順については、「イベント アクション規則の設定」、「シグニチャの定義」、「異常検出の設定」、および 「Attack Response Controller でのブロッキングとレート制限の設定」 を参照してください。
• グローバル相関を設定する手順については、「グローバル相関の設定」を参照してください。
• IDSM2 の管理タスクを実行する手順については、「センサーの管理タスク」および「IDSM2 の管理タスク」を参照してください。
• 最新版の IPS ソフトウェアを入手する方法については、「ソフトウェアの入手」を参照してください。
• アプリケーションおよびメンテナンス パーティションのイメージを再作成する手順については、「IDSM2 システム イメージのインストール」を参照してください。
IDSM2 取り付けの確認
(注) IDSM2 を初めて取り付けたときに、ステータスが other を示すのは正常な動作です。IDSM2 の診断ルーチンが完了し、オンラインになると、ステータスは ok を示します。IDSM2 がオンラインになるまで、最大 5 分かかります。
show module コマンドを使用して、スイッチが IDSM2 を認識し、オンラインになったことを確認します。
コンソールにログインします。
ステップ 2 IDSM2 がオンラインであることを確認します。
IDSM2 の取り付けを確認した後、全メモリ テストをイネーブルにする手順については、「全メモリ テストのイネーブル化」を参照してください。
サポートされている IDSM2 の最小構成
(注) 次の表は、特定のバージョンを推奨するものではなく、サポートされる最小バージョンを示すものです。
表 20-1 に、サポートされている IDSM2 の最小構成を示します。
|
|
|
|
||||||
|---|---|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
VACL キャプチャ1 |
||||||||
VACL キャプチャによる ECLB2 |
||||||||
Catalyst 6500 シリーズ スイッチにおける IDSM2 へのコマンド/コントロール アクセスの設定
Catalyst 6500 シリーズ スイッチが IDSM2 にコマンド/コントロール アクセスできるように設定する必要があります。ここでは、IDSM2 へのコマンド/コントロール アクセスの設定方法について説明します。内容は次のとおりです。
Catalyst ソフトウェア
Catalyst 6500 シリーズ スイッチが IDSM2 にコマンド/コントロール アクセスできるようにするには、次の手順を実行します。
コンソールにログインします。
ステップ 3 適切な VLAN にコマンド/コントロール ポートを設定します。
ステップ 4 IDSM2 にセッション接続して、ネットワーク IP アドレスに ping を送信します。
ステップ 6 IDSM2 のデフォルト ルータに ping を送信します。
ステップ 7 管理ステーションから IDSM2 に対して ping 送信、SSH または Telnet 接続、および Web ブラウズができることを確認します。
setup コマンドを使用して IDSM2 を初期化する手順については、「IDSM2 の高度な設定」を参照してください。
Cisco IOS ソフトウェア
Catalyst 6500 シリーズ スイッチが IDSM2 にコマンド/コントロール アクセスできるようにするには、次の手順を実行します。
コンソールにログインします。
ステップ 2 グローバル コンフィギュレーション モードを開始します。
ステップ 3 適切な VLAN にコマンド/コントロール ポートを設定します。
ステップ 4 IDSM2 にセッション接続し、ネットワーク IP アドレスに ping を送信して、接続されていることを確認します。
IDSM2# ping network_ip_address
setup コマンドを使用して IDSM2 を初期化する手順については、「IDSM2 の高度な設定」を参照してください。
IDSM2 の検知モード
IDSM2 では、次の 3 つの検知モードがサポートされます。
• 無差別モード:IDSM2 が導入されたとき、IDSM2 でサポートされる唯一の検知モードが無差別モードでした。両方のデータ ポートのデフォルト検知モードです。
無差別モードでは、IDSM2 は Catalyst スイッチがデータ ポートにコピーしたネットワーク トラフィックをパッシブにモニタします。データ ポートは 802.1q トランクとして動作し、2 つのデータ ポートが同じ VLAN または異なる VLAN をトランク接続するように設定できます。Catalyst スイッチは、SPAN または VACL キャプチャを使用して、特定のトラフィックをデータ ポートにコピーします。2 つのデータ ポートに、同じトラフィックまたは異なるトラフィックを送信できます。このモードでは IDSM2 がパッシブとなるため、パケットをドロップしてネットワーク侵入をブロックすることはできませんが、TCP リセットをネットワーク接続の両側に送信して接続の切断を試行するように設定できます。
(注) Catalyst スイッチはキャプチャ宛先ポートからのトラフィックを転送しないため、IDSM2 はデータ ポート経由で TCP リセットを送信して侵入のブロックを試行することができません。そのため、無差別モードでのみ使用できる別のリセット ポートが、この目的で予約されています。
• インライン モード:IPS 5.0(1) 以降では、IDSM2 をインライン インターフェイス ペア モードで、アクティブ ネットワーク デバイスとして設定できます。2 つのデータ ポートが協調して動作し、IDSM2 を通じて 2 つの VLAN がブリッジされます。各データ ポートをアクセス ポートとして設定し、それぞれに異なる VLAN を割り当てることができます。IDSM2 は、2 つのデータ ポート間でトラフィックを転送することによって、2 つの VLAN をブリッジします。各データ ポート上で受信するトラフィックを検査し、そのパケットをペアのもう一方のデータ ポートに転送するか、または侵入の試行が検出された場合はそのパケットをドロップできます。スイッチをインライン モードに設定してから、IDSM2 でインライン インターフェイス ペアを作成する必要があります。
• インライン VLAN ペア モード:IPS 5.1(1) 以降では、IDSM2 をインライン VLAN ペア モードに設定できます。IDSM2 は 802.1q トランクとして動作し、同じデータ ポート内にある VLAN ペア間で VLAN ブリッジングを実行します。IDSM2 は、VLAN ペアの各 VLAN 上で受信するトラフィックを検査し、そのパケットをペアのもう一方の VLAN(または、パケットを受信したデータ ポートと同じデータ ポートの VLAN)に転送するか、または侵入の試行が検出された場合はそのパケットをドロップできます。IDSM2 は、各データ ポート上で最大 255 個の VLAN ペアを同時にブリッジするように設定できます。IDSM2 は、各パケットの 802.1q ヘッダー内の VLAN ID フィールドを、パケットを転送する VLAN の ID に置き換えます。インライン VLAN ペアに割り当てられていない VLAN で受信したパケットはすべてドロップされます。
(注) インライン VLAN ペアに関連付けられている VLAN も、データ ポート トランクが許可された VLAN になるように、IPS とスイッチの設定を調整する必要があります。
IDSM2 の検知モードは混在できます。たとえば、一方のデータ ポートを無差別モードに設定し、もう一方のデータ ポートをインライン VLAN ペア モードに設定できます。ただし、IDSM2 のデータ ポートは 2 つだけで、インライン モードでは両方のデータ ポートをペアとして使用する必要があるため、インライン モードを他の 2 つのモードのいずれかと混在させることはできません。
• 無差別モードの詳細については、「無差別モードの設定」を参照してください。
• TCP リセットの詳細については、「TCP リセット インターフェイス」を参照してください。
• SPAN を設定する手順については、「SPAN の設定」を参照してください。
• VACL キャプチャを設定する手順については、「VACL キャプチャの設定」を参照してください。
• インライン インターフェイス モードの詳細については、「インライン インターフェイス モードの設定」を参照してください。
• インライン インターフェイス モードでのスイッチ設定の詳細については、「インライン モードの IDSM2 用の Catalyst 6500 シリーズ スイッチの設定」を参照してください。
• インライン インターフェイス モードでの IDSM2 設定の詳細については、「インライン インターフェイス ペアの設定」を参照してください。
• インライン VLAN ペア モードの詳細については、「インライン VLAN ペア モードの設定」を参照してください。
• インライン VLAN ペア モード用にスイッチを設定する手順については、「インライン VLAN ペア モードの IDSM2 用の Catalyst 6500 シリーズ スイッチの設定」を参照してください。
• インライン VLAN ペア モードで IDSM2 を設定する手順については、「インライン VLAN ペアの設定」を参照してください。
無差別モードの IDSM2 用の Catalyst 6500 シリーズ スイッチの設定
ここでは、スイッチおよび IDSM2 を無差別モード用に設定する方法について説明します。内容は次のとおりです。
無差別モードのスイッチおよび IDSM2 について
トラフィックは、無差別分析のために IDSM2 上で SPAN または VACL キャプチャを使用してキャプチャされます(Cisco IOS Firewall を MSFC で実行している場合、VACL は使用できませんが、 mls ip ids コマンドを使用できます)。ポート 1(GigabitEthernet0/1)は TCP リセット ポートとして使用され、ポート 2(GigabitEthernet0/2)はコマンド/コントロール ポート、ポート 7 および 8(GigabitEthernet0/7 および GigabitEthernet0/8)はモニタリング ポートになります。どちらのモニタリング ポートも、SPAN の宛先ポートまたは VACL キャプチャ ポートとして設定できます。
(注) Catalyst ソフトウェア 8.4(3) よりも前は、IDSM2 データ ポートがデフォルトですべての VLAN をトランキングしていました。Catalyst ソフトウェア 8.4(3) 以降では、IDSM2 データ ポートはデフォルトで VLAN をトランキングしないように設定されます。特に 8.4(3) よりも前のバージョンから 8.4(3) 以降にアップグレードしたときは、IDSM2 ポートが正しい VLAN をトランキングすることを確認してください。
TCP リセット インターフェイスの使用方法
IDSM2 には、TCP リセット インターフェイス(ポート 1)があります。IDSM2 は、センシング ポートに TCP リセットを送信できないので、専用の TCP リセット インターフェイスが用意されています。
IDSM2 においてリセット上の問題が発生した場合は、次の手順を試してください。
• センシング ポートがアクセス ポート(1 つの VLAN)である場合、リセット ポートが同じ VLAN に存在するように設定する必要があります。
• センシング ポートが dot1q トランク ポート(マルチ VLAN)である場合、このセンシング ポートとリセット ポートはすべて同じネイティブ VLAN を持つ必要があり、リセット ポートは両方のセンシング ポートによってトランク接続されている VLAN すべてにトランク接続されている必要があります。
SPAN の設定
IDSM2 では、イーサネットまたはファスト イーサネット SPAN 送信元ポートからのイーサネット VLAN トラフィックを分析することも、イーサネット VLAN を SPAN 送信元として指定することもできます。ここでは、IDSM2 で SPAN を使用する方法について説明します。内容は次のとおりです。
Catalyst ソフトウェア
(注) IDSM2 ポート番号は 7 または 8 のみです。
IDSM2 への SPAN をイネーブルにするには、特権モードで set span コマンドを使用します。
• disable :ポートのモニタリングをディセーブルにします。
• module/port :送信元モジュールおよびポート番号。
• module/port :宛先モジュールおよびポート番号。
• inpkts :宛先ポートの着信パケットをイネーブル/ディセーブルにします。
• learning :MAC アドレス ラーニングをイネーブル/ディセーブルにします。
• multicast :マルチキャスト トラフィックをイネーブル/ディセーブルにします。
• session :SPAN セッションのセッション番号。
IDSM2 で SPAN をイネーブルにするには、次の手順を実行します。
コンソールにログインします。
ステップ 3 IDSM2 への SPAN をイネーブルにします。
(注) 送信元トランク ポート上の特定の VLAN についてトラフィックをモニタするには、filter キーワードを使用します。
ステップ 5 IDSM2 にトラフィックを送信している SPAN セッションをディセーブルにするには、次の手順を実行します。
Cisco IOS ソフトウェア
(注) IDSM2 データ ポート番号には、1 または 2 を使用します。
IDSM2 で SPAN をイネーブルにするには、グローバル コンフィギュレーション モードで monitor session コマンドを使用します。
• GigabitEthernet :GigabitEthernet IEEE 802.3z
• Port-channel :インターフェイスのイーサネット チャネル
• both :受信トラフィックと送信トラフィックをモニタします
• intrusion-detection-module :SPAN 宛先の侵入検知モジュール
• destination :SPAN 宛先インターフェイスまたは VLAN
• source :SPAN 送信元インターフェイス、VLAN
IDSM2 で SPAN をイネーブルにするには、次の手順を実行します。
コンソールにログインします。
ステップ 2 グローバル コンフィギュレーション モードを開始します。
ステップ 3 モニタ セッションの送信元インターフェイスを設定します。
ステップ 4 IDSM2 のデータ ポートを SPAN の宛先としてイネーブルにします。
ステップ 5 データ ポートに自動ステートが含まれていることを確認します。
これによって、データ ポートが VLAN で唯一のポートになっている場合に、スイッチ仮想インターフェイスが稼動状態のままになります。デフォルトは no include です。
ステップ 6 (任意)そのデータ ポートの PortFast をイネーブルにします。
ステップ 7 (任意)モニタ セッションをディセーブルにするには、次の手順を実行します。
ステップ 8 (任意)SPAN セッションをフィルタ処理して、特定の VLAN だけがスイッチ ポート トランクから認識できるようにします。
vlan_ID} [, | - ]}
自動ステートおよび PortFast の詳細については、『 Catalyst 6500 Series Software Configuration Guide, 8.x 』を参照してください。
VACL キャプチャの設定
Cisco IOS ソフトウェアを使用している場合、単一の VLAN、複数の VLAN、または 7600 ルータの FLexWAN2 ポートからのトラフィックを、IPS のために VACL がキャプチャするように設定できます。ここでは、VACLS を使用してトラフィックをキャプチャする方法について説明します。内容は次のとおりです。
Catalyst ソフトウェア
(注) ポート 1 は TCP リセット ポートとして設定されます。ポート 7 および 8 はセンシング ポートであり、セキュリティ ACL キャプチャ ポートとして設定できます。Catalyst Software 8.4(1) 以前のリリースの場合、デフォルトでポート 7 および 8 がトランク ポートとして設定され、キャプチャ機能によってセキュリティ ACL が適用されているすべての VLAN にトランク接続されます。特定の VLAN からのトラフィックのみをモニタする場合は、モニタしない VLAN はクリアして、ポート 7 およびポート 8 にトランク接続されないようにする必要があります。
セキュリティ ACL キャプチャ ポートを設定するには、 set security acl コマンドを使用します。
– capture-port :ACL キャプチャ用のポートを設定します
– cram :セキュリティ ACL cram を設定します
– ipx :IPX セキュリティ ACL 機能を設定します
– mac :MAC セキュリティ ACL 機能を設定します
– map :セキュリティ ACL と VLAN のマッピングを設定します
• redirect :ポートにリダイレクトするパケットを指定します
• before :editbuffer で指定した ace の前に、ACE を挿入します
• capture :キャプチャ ポートに、このフローのコピーを作成します
• modify :editbuffer で指定した ACE を変更します
VLAN 上で IPS トラフィックをキャプチャするように VACL を設定するには、次の手順を実行します。
コンソールにログインします。
ステップ 3 トラフィックをキャプチャする VACL を作成します。許可、拒否、およびキャプチャするトラフィックを指定します。
(注) キャプチャできるのは、許可されたトラフィックに限られます。あるトラフィックを許可するがキャプチャしない場合は、capture キーワードを使用しないでください。
VACL をコミットすると、VACL およびそれに関連付けられた ACE が NVRAM に書き込まれます。
vlan_number
ステップ 6 IDSM2 ポート(ポート 7 または 8)をキャプチャ ポートとして設定します。
Cisco IOS ソフトウェア
VLAN 上で IPS トラフィックをキャプチャするように VACL を設定するには、次のコマンドを使用します。
• ip-access-list :名前付きのアクセス リストを指定します。
– hardware :ハードウェア フラグメント処理をイネーブルにします。
– log-update :アクセス リスト ログのアップデートを制御します。
– logging :アクセス リストのロギングを制御します。
– resequence :アクセス リストのシーケンス番号を再割り当てします。
VLAN 上で IPS トラフィックをキャプチャするように VACL を設定するには、次の手順を実行します。
コンソールにログインします。
ステップ 2 グローバル コンフィギュレーション モードを開始します。
ステップ 5 VLAN アクセス マップ シーケンスで match 句を設定します。
ステップ 6 VLAN アクセス マップ シーケンスで action 句を前の match 句に付随するように設定します。
ステップ 7 指定した VLAN に VLAN アクセス マップを適用します。
ステップ 8 キャプチャ フラグの付いたトラフィックをキャプチャするように IDSM2 データ ポートを設定します。
(注) スイッチがトラフィックをルーティングする場合は、ルーティング対象のすべての VLAN をモニタするように IDSM2 を設定する必要があります。VACL を FlexWan2 ポートに適用する場合は、すべての VLAN をモニタするように IDSM2 を設定する必要があります。
ステップ 9 IDSM2 でキャプチャ機能をイネーブルにします。
ステップ 10 データ ポートに自動ステートが含まれていることを確認します。
これによって、データ ポートが VLAN で唯一のポートになっている場合に、スイッチ仮想インターフェイスが稼動状態のままになります。デフォルトは no include です。
ステップ 11 (任意)そのデータ ポートの PortFast をイネーブルにします。
自動ステートおよび PortFast の詳細については、『 Catalyst 6500 Series Software Configuration Guide, 8.x 』を参照してください。
mls ip ids コマンドの設定
ここでは、 mls ip ids コマンドを使用して IPS トラフィックをキャプチャする方法について説明します。次の項目について説明します。
Catalyst ソフトウェア
Cisco IOS Firewall を MSFC で実行している場合、VACL を使用して IDSM2 のトラフィックをキャプチャすることはできません。これは、Cisco IOS ファイアウォール用の IP 検査規則を適用済みの VLAN には、VACL を適用できないためです。しかし、 mls ip ids コマンドを使用することにより、キャプチャするパケットを指定することはできます。ACL で許可されたパケットがキャプチャされます。ACL によって拒否されたパケットはキャプチャされません。 permit / deny パラメータは、パケットが宛先ポートに転送されるかどうかには影響しません。ルータ インターフェイスに着信するパケットは、IPS ACL と照合されて、キャプチャするかどうかが決定されます。 mls ip ids コマンドは、スーパーバイザ設定ではなく MSFC 設定の一部として適用されます。 mls ip ids コマンドは、着信トラフィックのみをキャプチャします。接続の両方向についてキャプチャを行うためには、クライアント側のルータ インターフェイスとサーバ側のルータ インターフェイスの両方で mls ip ids コマンドを使用します。
mls ip ids コマンドを使用して IPS トラフィックをキャプチャするには、次の手順を実行します。
MSFC にログインします。
ステップ 4 キャプチャするパケットを指定するように ACL を設定します。
ステップ 5 キャプチャするパケットが伝送されるインターフェイスを選択します。
ステップ 6 ステップ 4 で作成した ACL をステップ 5 で選択したインターフェイスに適用します。
ステップ 9 スーパーバイザ エンジンで、IDSM2 モニタリング ポート(ポート 7 および 8)を VACL キャプチャ リストに追加します。
Cisco IOS ソフトウェア
ポートをスイッチ ポートではなくルータ インターフェイスとして使用している場合は、VACL の適用先となる VLAN が存在しません。
mls ip ids コマンドを使用することにより、キャプチャするパケットを指定することはできます。ACL で許可されたパケットがキャプチャされます。ACL によって拒否されたパケットはキャプチャされません。 permit / deny パラメータは、パケットが宛先ポートに転送されるかどうかには影響しません。ルータ インターフェイスに着信するパケットは、IPS ACL と照合されて、キャプチャするかどうかが決定されます。
mls ip ids コマンドを使用して IDS トラフィックをキャプチャするには、次の手順を実行します。
コンソールにログインします。
ステップ 2 グローバル コンフィギュレーション モードを開始します。
ステップ 3 キャプチャするパケットを指定するように ACL を設定します。
ステップ 4 キャプチャするパケットが伝送されるインターフェイスを選択します。
ステップ 6 ステップ 4 で作成した ACL をステップ 5 で選択したインターフェイスに適用します。
インライン モードの IDSM2 用の Catalyst 6500 シリーズ スイッチの設定
IDM または CLI を使用して、別々の VLAN(IDSM2 のそれぞれの側で 1 つずつの VLAN)の間で、インライン モードで動作するように IDSM2 を設定できます。インライン モード用に IDSM2 を準備するには、スイッチも IDSM2 と同様に設定する必要があります。先にスイッチを設定してから、IDSM2 インターフェイスをインライン モードに設定します。ここでは、IDSM2 をインライン モードに設定する方法について説明します。内容は次のとおりです。
Catalyst ソフトウェア
Supervisor Engine 1a、Supervisor Engine 2、Supervisor Engine 32、または Supervisor Engine 720 を搭載した Catalyst ソフトウェア 8.4(1) 以降でインライン動作を行うには、IDSM2 モニタリング ポートをトランク ポートとして設定します。ネイティブ VLAN は、トランク接続される唯一の VLAN と同じなので、トラフィックは 802.1q カプセル化されません。
IDSM2 のモニタリング ポートをインライン動作用に設定するには、次の手順に従います。
コンソールにログインします。
ステップ 3 各 IDSM2 モニタリング ポートにネイティブ VLAN を設定します。
console (enable)> set vlan 652 9/8
ステップ 4 各 IDSM2 モニタリング ポート(ポート 7 および 8)からすべての VLAN をクリアします。
console (enable)> clear trunk slot_number/port_number vlan_range
ステップ 5 ステップ 3 で設定した単一のネイティブ VLAN をトランク接続するように、IDSM2 モニタリング ポート 7 および 8 を設定します。
console (enable)> set trunk slot_number/port_number vlan_number
ステップ 6 ステップ 3 のインターフェイスを IDSM2 上でペア設定します。
インライン インターフェイスをペア設定する手順については、「インライン インターフェイス ペアの設定」を参照してください。
Cisco IOS ソフトウェア
IDSM2 モニタリング ポートをインライン操作のアクセス ポートとして設定します。
インライン VLAN を設定するには、次の手順を実行します。
コンソールにログインします。
ステップ 2 グローバル コンフィギュレーション モードを開始します。
ステップ 3 IDSM2 がリンクする VLAN を選択します。
ステップ 4 各 IDSM2 データ ポートをそれぞれ単一の VLAN に設定します。
(注) 次の例では、スロット 13 の IDSM2 が、VLAN 661 と 662 の間でインラインになっています。IDSM2 データ ポート 1 が VLAN 661 にあり、データ ポート 2 が VLAN 662 にあります。
b. IDSM2 データ ポート 1 が VLAN 661 のアクセス ポートになっていることを確認します。
ステップ 6 ステップ 4 のインターフェイスを IDSM2 上でペア設定します。
インライン インターフェイスをペア設定する手順については、「インライン インターフェイス ペアの設定」を参照してください。
インライン VLAN ペア モードの IDSM2 用の Catalyst 6500 シリーズ スイッチの設定
IDM または CLI を使用して、インライン VLAN ペア モードで動作するように、IDSM2 を設定できます。インライン VLAN ペア モード用に IDSM2 を準備するには、スイッチも IDSM2 と同様に設定する必要があります。先にスイッチを設定してから、IDSM2 インターフェイスをインライン VLAN ペア モードに設定します。ここでは、IDSM-2 をインライン VLAN ペア モードに設定する方法について説明します。内容は次のとおりです。
Catalyst ソフトウェア
Supervisor Engine 1a、Supervisor Engine 2、Supervisor Engine 32、または Supervisor Engine 720 を搭載した Catalyst ソフトウェア 8.4(1) 以降でインライン VLAN ペア モードを使用するには、IDSM2 モニタリング ポートをトランク ポートとして設定します。
IDSM2 のモニタリング ポートをインライン VLAN ペア モード用に設定するには、次の手順を実行します。
コンソールにログインします。
ステップ 3 IDSM2 モニタリング ポートから、すべての VLAN をクリアします。
(注) Catalyst ソフトウェア 8.4.(3) よりも前は、IDSM2 モニタリング ポートから VLAN をクリアするときの VLAN 範囲の値が 1 ~ 1005、1024 ~ 4094 でした。これ以降のバージョンでは、全 VLAN 範囲の 1 ~ 4094 をクリアできます。
ステップ 4 ペア設定する VLAN をトランク接続するように、IDSM2 モニタリング ポートを設定します。
ステップ 5 ステップ 4 で使用した VLAN ペア以外の値になるように、IDSM2 モニタリング ポートのネイティブ VLAN を設定します。
ステップ 6 IDSM2 モニタリング ポートで、ペア設定するその他の VLAN に対してステップ 4 を繰り返します。
ステップ 7 その他のモニタリング ポートを設定するには、ステップ 3 から 6 を繰り返します。
ステップ 8 ステップ 4 の VLAN を IDSM2 上でペア設定します。
インライン VLAN ペア モードで IDSM2 が実行されるように設定する手順については、「インライン VLAN ペアの設定」を参照してください。
Cisco IOS ソフトウェア
インライン VLAN ペア動作用に、IDSM2 モニタリング ポートをトランク ポートとして設定します。
インライン VLAN ペアを設定するには、次の手順を実行します。
コンソールにログインします。
ステップ 2 グローバル コンフィギュレーション モードを開始します。
ステップ 3 ペア設定する VLAN をトランク接続するように、一方の IDSM2 モニタリング ポートを設定します。
(注) 次の例では、スロット 13 の IDSM2 のデータ ポート 1 が、VLAN 661 と 662 をトランキングしています。
b. IDSM2 データ ポートが正しい VLAN をトランキングしていることを確認します。
ステップ 5 ステップ 3 の VLAN を IDSM2 上でペア設定します。
インライン VLAN ペア モードで IDSM2 が実行されるように設定する手順については、「インライン VLAN ペアの設定」を参照してください。
EtherChannel ロード バランシングの設定
ここでは、IDSM2 上での ECLB の設定方法について説明します。内容は次のとおりです。
• 「EtherChannel のロード バランシングについて」
EtherChannel のロード バランシングについて
Catalyst 6500 シリーズ シャーシに搭載されているスーパーバイザ エンジンは、IPS 5. x 以降を実行している IDSM2 デバイスを EtherChannel デバイスとして認識します。このため、最大 8 台の IDSM2 デバイスを同じシャーシに取り付けることができます。
Catalyst 6500 シリーズ スイッチの IDSM2 には、8 個の内部ポートがあります。使用されるのは、このうちの 4 個だけです。ポート 1 は TCP/IP リセット ポートです。ポート 2 はコマンド/コントロール ポートです。ポート 7 および 8 は、Catalyst ソフトウェアではセンシング ポートで、Cisco IOS ソフトウェアではデータ ポート 1 および 2 になります。その他のポートは使用されません。
バックプレーンは 1000 Mbps です。そのため、IDSM2 が処理できるパフォーマンスは約 600 Mbps ですが、1000 Mbps と表示されます。ECLB により、ポート 7 またはポート 8 で最大 8 台の IDSM2 デバイスをロード バランシングに参加させることができます。
EtherChannel と 3 つの検知モード
EtherChannel は、3 つのすべての検知モードで、複数の IDSM2 の間でのロード バランシングおよびフェイルオーバーを提供します。IDSM2 は、LACP や PAgP などの EtherChannel プロトコルには参加しません。Cisco IOS では、 src-dst-ip アルゴリズムを使用したロード バランシングだけが可能です。そのため、指定された IP アドレス ペア間のすべてのパケットが常に同じチャネルにマップされます。Catalyst ソフトウェアは、 ip both アルゴリズムを使用します。そのため、IDSM2 が 2 台のホスト間の接続を正しく追跡できる必要があります。
3 つの検知モードで、EtherChannel と IDSM2 は次のように動作します。
• EtherChannel と無差別モード:IDSM2 が無差別モードで動作する場合、2 つのデータ ポートはそれぞれ独立して動作します。データ ポートが同じグループ内の複数の IDSM2 を持つようにスイッチを設定した場合、スイッチは IDSM2 間でトラフィックを分散します。これによって、複数の IDSM2 間でトラフィックの負荷が分散されます。データ ポートが errDisabled ステートになった場合、または IDSM2 がシャットダウン、電源オフ、またはリセットされた場合は、チャネルの再バランスを行う必要があります。
• EtherChannel とインライン モード:複数の IDSM2 をインライン モードに設定した場合、各 IDSM2 のデータ ポート 1 をあるチャネル グループに設定し、各 IDSM2 のデータ ポート 2 を別のチャネル グループに設定することによって、IDSM2 間でトラフィックのロード バランスを行うことができます。
• EtherChannel とインライン VLAN ペア モード:IDSM2 がインライン on-a-stick モードで動作する場合、2 つのデータ ポートはそれぞれ独立して動作します。無差別モードと同じ制約が適用されます。
ECLB のイネーブル化
ここでは、Cisco IOS および Catalyst ソフトウェアで ECLB をイネーブルにする方法について説明します。次のような構成になっています。
Catalyst ソフトウェア
ここでは、Catalyst ソフトウェアの 3 つの検知モードで ECLB をイネーブルにする方法について説明します。次の項目について説明します。
無差別モードおよび VLAN ペア モードの ECLB
無差別モードおよびインライン VLAN ペア モードの場合は、各 IDSM2 の単一のポート(ポート 7 またはポート 8)を EtherChannel に追加します。
IDSM2 のモニタリング ポートを無差別モードまたはインライン VLAN ペア モードの ECLB 用に設定するには、次の手順を実行します。
コンソールにログインします。
ステップ 3 各 IDSM2 を無差別モードまたはインライン VLAN ペア モード用に設定します。
ステップ 4 IDSM2 モニタリング ポートを EtherChannel に追加します。
インライン VLAN ペアを設定する手順については、「インライン VLAN ペアの設定」を参照してください。
インライン モードの ECLB
インライン モードの場合、各 IDSM2 の単一のポート 7 を EtherChannel に追加し、各 IDSM2 のポート 8 を別の EtherChannel に追加します。
IDSM2 のモニタリング ポートをインライン モードの ECLB 用に設定するには、次の手順を実行します。
コンソールにログインします。
ステップ 3 各 IDSM2 をインライン モード用に設定します。
ステップ 4 IDSM2 モニタリング ポート 7 を EtherChannel に追加します。
ステップ 5 その EtherChannel に対して ECLB をイネーブルにします。
ステップ 6 IDSM2 モニタリング ポート 8 を別の EtherChannel に追加します。
ステップ 7 その EtherChannel に対して ECLB をイネーブルにします。
インライン VLAN ペアを設定する手順については、「インライン VLAN ペアの設定」を参照してください。
Cisco IOS ソフトウェア
ここでは、Cisco IOS ソフトウェアの 3 つの検知モードで ECLB をイネーブルにする方法について説明します。内容は次のとおりです。
(注) インライン モードには、IOS 12.2(18)SXF4 以降が必要です。
デフォルトの復元
指定したデータ ポートのデフォルトを復元するには、 intrusion-detection module module_number data-port {1 | 2} default コマンドを使用します。このコマンドによって、許可 VLAN、自動ステート、PortFast、コスト、プライオリティ設定が復元されます。データ ポートがポート チャネルに属している場合、このコマンドは無効です。このコマンドは、ポート チャネル グループにデータ ポートを追加する前に、データ ポートをクリアするときに役立ちます。
このコマンドは、次のコマンドをすべて使用することと同じです。
• no intrusion-detection module module_number data-port {1 | 2} trunk allowed-vlan
• intrusion-detection module module_number data-port {1 | 2} access vlan
• intrusion-detection module module_number data-port {1 | 2} autostate include
• intrusion-detection module module_number data-port {1 | 2} portfast
• intrusion-detection module module_number data-port {1 | 2} spanning-tree cost
• intrusion-detection module module_number data-port {1 | 2} spanning-tree priority
無差別モードの ECLB
(注) IDSM2 で EtherChannel ロード バランシングを行うために必要な Cisco IOS のバージョンおよびスーパーバイザの要件については、表 20-1 を参照してください。
(注) Cisco IOS は(SPAN またはモニタではなく)VACL キャプチャを使用して、無差別 IDSM2 EtherChannel をサポートします
EtherChannel は、フレーム内のアドレスに基づいて形成されたバイナリ パターンの一部を、チャネル内の 1 つのリンクを選択する数値に変換することによって、EtherChannel 内のリンク間でトラフィックの負荷を分散させます。
EtherChannel ロード バランシングでは、MAC アドレス、IP アドレス、またはレイヤ 4 ポート番号を使用できます。これらは、送信元または宛先、あるいはその両方のアドレスまたはポートです。選択したモードは、スイッチ上で設定されているすべての EtherChannel に適用されます。ECLB には MPLS レイヤ 2 情報も使用できます。
使用している設定で最も多様なバランス基準を提供するオプションを使用してください。たとえば、EtherChannel 上のトラフィックが 1 つの MAC アドレスにだけ送信され、かつ ECLB の基準として宛先 MAC アドレスを使用している場合、EtherChannel は常に EtherChannel 内の同じリンクを選択します。送信元アドレスまたは IP アドレスを使用すると、ロード バランスが向上することがあります。
IDSM2 上で無差別動作をするように ECLB を設定するには、次の手順を実行します。
各 IDSM2 を無差別動作用に設定します。
(注) IDSM2 用に ECLB を設定する前に、すべての IDSM2 VACL キャプチャ、SPAN、またはモニタの設定行が削除されていることを確認します。
ステップ 3 グローバル コンフィギュレーション モードを開始します。
ステップ 5 任意のアクセス コントロール エントリ( permit any any など)を追加します。
ステップ 6 少なくとも 1 つの VLAN アクセス マップ シーケンスを作成します。
ステップ 7 VLAN に VLAN アクセス マップを適用します。
ステップ 8 各 IDSM2 の目的のデータ ポートを目的の EtherChannel に追加します。
各 EtherChannel には、番号付きのポート チャネル インターフェイスが 1 つずつあります。1 ~ 256 の番号のポート チャネル インターフェイスを最大 64 個設定できます。
IDSM2 でサポートされるデフォルトで唯一のロード バランシング アルゴリズムは src-dst-ip です。そのため、EtherChannel が送信元と宛先の IP アドレスの組み合わせを分散方式として使用します。
ステップ 11 EtherChannel にキャプチャされるように VLAN を設定します。
ステップ 12 EtherChannel へのキャプチャをイネーブルにします。
ステップ 13 チャネル グループに自動ステートが含まれていることを確認します。
これによって、データ ポートが VLAN で唯一のポートになっている場合に、スイッチ仮想インターフェイスが稼動状態のままになります。デフォルトは no include です。
ステップ 14 (任意)そのチャネル グループの PortFast をイネーブルにします。
ステップ 15 グローバル コンフィギュレーション モードを終了します。
• EtherChannel の詳細については、『 Catalyst 6500 Release 12.2SXF and Rebuilds Software Configuration Guide 』を参照してください。
• 自動ステートおよび PortFast の詳細については、『 Catalyst 6500 Series Software Configuration Guide, 8.x 』を参照してください。
• 無差別モードで IDSM2 を設定する手順については、「無差別モードの IDSM2 用の Catalyst 6500 シリーズ スイッチの設定」を参照してください。
インライン モードの ECLB
(注) IDSM2 用に ECLB を設定する前に、すべての IDSM2 VACL キャプチャ、SPAN、またはモニタの設定行が削除されていることを確認します。いずれかのポートでキャプチャをイネーブルにしているときに、チャネル グループをインライン モードに変更しようとすると、エラーが発生します。
IDSM2 上で ECLB をインライン モードに設定するには、次の手順を実行します。
コンソールにログインします。
ステップ 2 グローバル コンフィギュレーション モードを開始します。
ステップ 3 各 IDSM2 のすべてのデータ ポート 1 を EtherChannel に追加します。
各 EtherChannel には、番号付きのポート チャネル インターフェイスが 1 つずつあります。1 ~ 256 の番号のポート チャネル インターフェイスを最大 64 個設定できます。まだ作成されていない場合、このコマンドで、許可 VLAN リストが空のチャネル グループおよびポート チャネルが作成されます。ポート チャネルが存在する場合は、ポート チャネルの許可 VLAN リスト、PortFast、自動ステート、スパニング ツリー コスト、およびプライオリティ設定がデータ ポートに割り当てられます。
(注) 別のポート タイプが含まれているチャネル グループにデータ ポートを追加しようとした場合、または 1 つ以上のデータ ポートが含まれているポート チャネルに別のポート タイプを追加しようとした場合、エラーが発生します。
ステップ 4 各 IDSM2 のすべてのデータ ポート 2 を別の EtherChannel に追加します。
ステップ 5 検知モードをアクセス(インライン)に設定し、データ ポート 1 が含まれるチャネル グループのアクセス VLAN を設定します。
(注) ポート チャネルが存在しない場合、またはポート チャネルがトランクまたはキャプチャ モード用にすでに設定されている場合、エラー メッセージが表示されます。ポート チャネルを作成するか、トランクまたはキャプチャ モードからポート チャネルを削除する必要があります。
ステップ 6 検知モードをアクセス(インライン)に設定し、データ ポート 2 が含まれるチャネル グループのアクセス VLAN を設定します。
デフォルトは src-dst-ip です。そのため、EtherChannel が送信元と宛先の IP アドレスの組み合わせを分散方式として使用します。
ステップ 9 アクセス(インライン)モードの場合は、各チャネル グループを include するように自動ステートを設定します。
デフォルトは no include です。これによって、データ ポートが稼動中で VLAN にある場合に、スイッチ仮想インターフェイスの停止が防止されます。
ステップ 10 (任意)各チャネル グループの PortFast をイネーブルまたはディセーブルにします。
ステップ 11 (任意)2 つのチャネル グループのそれぞれについて、スパニング ツリー パス コストを設定します。
router(config)# intrusion-detection port-channel 5 spanning-tree cost 4
各 IDSM2 のデータ ポート 1 とデータ ポート 2 が同じステート(フォワーディングまたはブロッキング)になるように、両方のチャネル グループに同じポート コストを設定する必要があります。
ステップ 12 (任意)2 つのチャネル グループのそれぞれについて、スパニング ツリー ポート プライオリティを設定します。
router(config)# intrusion-detection port-channel 5 spanning-tree priority 16
指定できるポート プライオリティ値は、0 ~ 240 の範囲の 16 の倍数です。デフォルトは 32 です。
ステップ 13 グローバル コンフィギュレーション モードを終了します。
• 自動ステート、PortFast、スパニング ツリーとポート コストの計算方法、ポート プライオリティの詳細については、『 Catalyst 6500 Series Software Configuration Guide, 8.x 』を参照してください。
• 無差別モードで IDSM2 を設定する手順については、「無差別モードの IDSM2 用の Catalyst 6500 シリーズ スイッチの設定」を参照してください。
インライン VLAN ペア モードの ECLB
(注) IDSM2 用に ECLB を設定する前に、すべての IDSM2 VACL キャプチャ、SPAN、またはモニタの設定行が削除されていることを確認します。いずれかのポートでキャプチャをイネーブルにしているときに、チャネル グループをインライン VLAN ペア モードに変更しようとすると、エラーが発生します。
IDSM2 上で ECLB をインライン VLAN ペア モードに設定するには、次の手順を実行します。
コンソールにログインします。
ステップ 2 グローバル コンフィギュレーション モードを開始します。
ステップ 3 各 IDSM2 のデータ ポート(データ ポート 1 またはデータ ポート 2)を EtherChannel に追加します。
各 EtherChannel には、番号付きのポート チャネル インターフェイスが 1 つずつあります。1 ~ 256 の番号のポートチャネル インターフェイスを最大 64 個設定できます。まだ作成されていない場合、このコマンドで、許可 VLAN リストが空のチャネル グループおよびポート チャネルが作成されます。ポート チャネルが存在する場合は、ポート チャネルの許可 VLAN リスト、PortFast、自動ステート、スパニング ツリー コスト、およびプライオリティ設定がデータ ポートに割り当てられます。
(注) 別のポート タイプが含まれているチャネル グループにデータ ポートを追加しようとした場合、または 1 つ以上のデータ ポートが含まれているポート チャネルに別のポート タイプを追加しようとした場合、エラーが発生します。
ステップ 4 検知モードをトランク(インライン VLAN ペア)に設定し、データ ポート 1 が含まれるチャネル グループのアクセス VLAN を設定します。ペア設定する VLAN(100 と 200、101 と 201 など)を決定し、すべてのペアのすべての VLAN が含まれるように許可 VLAN リストを設定します。
(注) スイッチの許可 VLAN リストには、インライン VLAN ペアとして IDSM2 で組み合わされたすべての VLAN が含まれている必要があります。含まれていない場合、トラフィックがドロップされます。
(注) ポート チャネルが存在しない場合、またはポート チャネルがトランクまたはキャプチャ モード用にすでに設定されている場合、エラー メッセージが表示されます。ポート チャネルを作成するか、トランクまたはキャプチャ モードからポート チャネルを削除する必要があります。
デフォルトは src-dst-ip です。そのため、EtherChannel が送信元と宛先の IP アドレスの組み合わせを分散方式として使用します。
ステップ 7 アクセス(インライン)モードの場合は、チャネル グループを include するように自動ステートを設定します。
デフォルトは no include です。これによって、データ ポートが稼動中で VLAN にある場合に、スイッチ仮想インターフェイスの停止が防止されます。
ステップ 8 (任意)チャネル グループの PortFast をイネーブルまたはディセーブルにします。
ステップ 9 (任意)チャネル グループのスパニング ツリー ポート コストを設定します。
router(config)# intrusion-detection port-channel 5 spanning-tree cost 4
ステップ 10 (任意)チャネル グループのスパニング ツリー ポート プライオリティを設定します。
router(config)# intrusion-detection port-channel 5 spanning-tree priority 16
指定できるポート プライオリティ値は、0 ~ 240 の範囲の 16 の倍数です。デフォルトは 32 です。
ステップ 11 グローバル コンフィギュレーション モードを終了します。
ステップ 13 ステップ 4 の VLAN を IDSM2 上でペア設定します。
• 自動ステート、PortFast、スパニング ツリーとポート コストの計算方法、ポート プライオリティの詳細については、『 Catalyst 6500 Series Software Configuration Guide, 8.x 』を参照してください。
• VLAN をペア設定する手順については、「インライン VLAN ペアの設定」を参照してください。
ECLB のディセーブル化
Catalyst ソフトウェア
コンソールにログインします。
ステップ 3 ECLB で無差別モードまたはインライン VLAN ペア モードをディセーブルにします。
ステップ 4 ECLB でインライン モードをディセーブルにします。
a. 一方の EtherChannel の ECLB をディセーブルにします。
b. もう一方の EtherChannel の ECLB をディセーブルにします。
Cisco IOS ソフトウェア
IDSM2 の ECLB をディセーブルにするには、次の手順を実行します。
コンソールにログインします。
ステップ 2 グローバル コンフィギュレーション モードを開始します。
ステップ 3 EtherChannel から単一の IDSM2 を削除します。
(注) IDSM2 の VACL キャプチャ コマンドは残っています。
ECLB の確認
Catalyst ソフトウェア
ECLB コンフィギュレーションを確認するには、次の手順を実行します。
コンソールにログインします。
ステップ 3 すべての EtherChannel を表示します。
(注) この出力では、2 つの IDSM2 データ ポートを持つ ID 1669 の EtherChannel が作成されています。ポート 1/7 は、スロット 1 のIDSM2 のポート 7 で、ポート 7/7 は、スロット 7 の IDSM2 のポート 7 です。どちらの IDSM2 も、無差別動作用に設定されています。2 つの IDSM2 ポート間(各 IDSM2 の 1 ポートずつ)で、ロード バランスが行われます。
ステップ 4 特定の EtherChannel ステータスを表示します。
(注) この出力では、10.20.2.1 から 10.20.5.3 へのトラフィックがポート 1/7(スロット 1 の IDSM2 のポート 7)に送信されることが示されています。
Cisco IOS ソフトウェア
IDSM2 ECLB コンフィギュレーションを確認するには、次の手順を実行します。
コンソールにログインします。
ステップ 2 すべての EtherChannel を表示します。
ステップ 3 特定の EtherChannel ステータスを表示します。
IDSM2 の管理タスク
ここでは、IDSM2 の管理タスクを実行するときに役立つ手順を示します。次の項目について説明します。
全メモリ テストのイネーブル化
IDSM2 を初めてブートすると、デフォルトで部分メモリ テストが実行されます。Catalyst ソフトウェアおよび Cisco IOS ソフトウェアでは、全メモリ テストをイネーブルにできます。ここでは、全メモリ テストをイネーブルにする方法について説明します。内容は次のとおりです。
Catalyst ソフトウェア
全メモリ テストをイネーブルにするには、 set boot device boot_sequence module_number mem-test-full コマンドを使用します。全メモリ テストは、約 12 分かかります。
全メモリ テストをイネーブルにするには、次の手順を実行します。
コンソールにログインします。
set boot device コマンドには、 cf:1 または hdd:1 を指定できます。
(注) 全メモリ テストは、部分メモリ テストよりも完了までに時間がかかります。
IDSM2 をリセットする手順については、「IDSM2 のリセット」を参照してください。
Cisco IOS ソフトウェア
全メモリ テストをイネーブルにするには、 hw-module module module_number reset mem-test-full コマンドを使用します。全メモリ テストは、約 12 分かかります。
全メモリ テストをイネーブルにするには、次の手順を実行します。
コンソールにログインします。
(注) 全メモリ テストは、部分メモリ テストよりも完了までに時間がかかります。
IDSM2 をリセットする手順については、「IDSM2 のリセット」を参照してください。
IDSM2 のリセット
何らかの理由により、SSH、Telnet、またはスイッチの session コマンドによって IDSM2 と通信できないときは、スイッチのコンソールから IDSM2 をリセットする必要があります。リセット プロセスには数分かかります。ここでは、IDSM2 のリセット方法について説明します。内容は次のとおりです。
Catalyst ソフトウェア
CLI から IDSM2 をリセットするには、次の手順を実行します。
コンソールにログインします。
ステップ 3 IDSM2 をアプリケーション パーティションまたはメンテナンス パーティションにリセットします。
(注) アプリケーション パーティション(hdd:1、デフォルト)もメンテナンス パーティション(cf:1)も指定しないと、IDSM2 はブート デバイス変数を使用します。
IDSM2 のイメージを再作成する手順については、「IDSM2 システム イメージのインストール」を参照してください。
Cisco IOS ソフトウェア
IDSM2 をリセットするには、EXEC モードで hw-module module slot_number reset { hdd:1 | cf:1 } コマンドを使用します。リセット プロセスには数分かかります。指定したブート パーティションに、IDSM2 がブートします。ブート ストリングを指定しないと、デフォルトの起動設定が使用されます。
CLI から IDSM2 をリセットするには、次の手順を実行します。
コンソールにログインします。
(注) アプリケーション パーティション(hdd:1、デフォルト)もメンテナンス パーティション(cf:1)も指定しないと、IDSM2 はブート デバイス変数を使用します。
Catalyst および Cisco IOS ソフトウェアのコマンド
(注) Catalyst および Cisco IOS ソフトウェアのコマンドの詳細については、Cisco.com にあるコマンド リファレンスを参照してください。これらのマニュアルの検索方法については、『Documentation Roadmap for Cisco Intrusion Prevention System 7.0』を参照してください。
ここでは、IDSM2 に関連する Catalyst および Cisco IOS ソフトウェアのコマンドを示します。次の項目について説明します。
Catalyst ソフトウェア
ここでは、Catalyst ソフトウェアでサポートされているコマンドおよびサポートされていないコマンドを示します。次の項目について説明します。
サポートされているスーパーバイザ エンジン コマンド
IDSM2 は、次のスーパーバイザ エンジン CLI コマンドもサポートしています。これらの詳細については、Catalyst 6500 シリーズのコマンド リファレンスで説明されています。
指定した IDSM2 に関連付けられているスーパーバイザ エンジンの設定をクリアします。
指定した IDSM2 のエラー ログのすべてのエントリを削除します。
スイッチ コンソールから IDSM2 のコンソールにログインします。
• set module コマンド(次に示す以外のすべての set module コマンドはエラー メッセージを返します)
– set module name module_number
– set module power module_number { up | down}
指定した IDSM2 への電源をイネーブルまたはディセーブルにします。
ポート 1 を SPAN の宛先ポートとして設定します。IDSM2 のポート 1 は SPAN の送信元ポートとしては使用できません。
IDSM2 が取り付けられている場合に、 Module-Type の下に Intrusion Detection System Module と表示します。
• show port capabilities [ module | module_number ]
SPAN ポート(ポート 1)と管理ポート(ポート 2)の両方の診断テスト、および BIOS と CMOS のブート結果からレポートされたエラーを表示します。
サポートされていないスーパーバイザ エンジン コマンド
次のスーパーバイザ エンジン CLI コマンドは、IDSM2 ではサポートされていません。
Cisco IOS ソフトウェア
ここでは、IDSM2 がサポートしている Cisco IOS ソフトウェアのコマンドを示します。これらのコマンドは、モードに基づいてグループ化されています。ここでは、次の項目について説明します。
EXEC コマンド
• hw-module module module_number reset { cf:1 | hdd:1 }
ブート デバイス変数で指定されたパーティションに IDSM2 をリセットします。ブート デバイス変数が設定されていない場合、IDSM2 はデフォルトでアプリケーション パーティションにリセットされます。ブート デバイス変数の現在の設定を表示するには、 show boot device module module_number コマンドを使用します。 cf:1 は、メンテナンス パーティションです。 hdd:1 は、アプリケーション パーティションです。
• hw-module module module_number shutdown
IDSM2 を安全にシャーシから取り外せるようにシャットダウンします。
• session slot module_number processor processor_number
スイッチ コンソールから IDSM2 のコンソールにログインします。
• show boot device module module_number
• show diagnostic result module module_number
IDSM2 が最後に起動されたときに実行されたオンライン診断の結果を表示します。
• show interface port-channel channel_number
• show intrusion-detection module module_number data-port {1 | 2} {state | traffic}
指定した IDSM2 データ ポートのステートまたはトラフィック統計情報を表示します。
• show intrusion-detection module module_number management-port {state | traffic}
IDSM2 管理ポートのステートまたはトラフィック統計情報を表示します。
• show module [ module_number | all | version]
インストールされているモジュールと、そのバージョンおよび状態を表示します。
• show monitor session session_number
指定したセッションの SPAN 送信元および宛先を表示します。
アクティブ インターフェイスのスパニング ツリー ステート情報だけを表示します。
• show spanning-tree summary [totals]
スパニング ツリーの上位のステートを表示します。インターフェイス固有の情報は表示されません。
• show spanning-tree vlan vlan_number
指定した VLAN のスパニング ツリー ステート情報を表示します。これらの VLAN が転送またはブロックされるポートのリストが含まれます。
コンフィギュレーション コマンド
次のコンフィギュレーション コマンドは、すべてグローバル コンフィギュレーション モード、インターフェイス コンフィギュレーション モード、または VACL コンフィギュレーション サブモードで実行できます。
– boot device module number_number { cf:1 | hdd:1 }
指定したモジュールのデフォルト ブート デバイスを設定します。 cf:1 は MP にブートし、 hdd:1 は AP にブートします。オプションを設定しないと、ブート ストリングがクリアされ、デフォルト ブート デバイスが AP に設定されます。
起動時に、現在のカレンダー時刻をスイッチの時刻として設定します。
– clock summer-time zone recurring
– fabric switching-mode force busmode
パケット再循環をサポートしないサービス モジュールが、スイッチ ファブリックではなく、シャーシ共有バス経由で通信するようにします。これによって、スーパーバイザがパケット再循環を集中的に処理し、サービス モジュールが上記の条件に合った VLAN で適切に通信できるようになります。このコマンドをイネーブルにしても、この問題の影響を受けない他のファブリック対応モジュールは、引き続きスイッチ ファブリックで通信します。
– [no] intrusion-detection module module_number data-port {1 | 2} access vlan vlan_id
指定したモジュールのデータ ポートをアクセス(インライン)モードに設定し、データ ポートのアクセス VLAN を設定します。
– [no] intrusion-detection module module_number data-port {1 | 2} autostate include
指定したデータ ポートを自動ステートの計算に含めます(または計算から除外します)。含めた場合、モジュールのデータ ポートがイネーブルの間、MSFC または WLAN ポートに関連付けられたスイッチ仮想インターフェイスは稼動状態のままになります。除外した場合、指定したモジュールのデータ ポートが VLAN で唯一のアクティブ ポートの場合に、MSFC または WAN ポートに関連付けられたスイッチ仮想インターフェイスがダウンします。デフォルトは no include です。
– [no] intrusion-detection module module_number data-port {1 | 2} capture
指定したデータ ポートをキャプチャ先ポートに設定します。パケットをキャプチャする前に、 intrusion-detection module module_number data-port {1 | 2} capture コマンドを使用して、許可 VLAN リストを設定する必要があります。IDSM2 を無差別モードにしておく必要があります。
– [no] intrusion-detection module module_number data-port {1 | 2} capture allowed-vlan vlan_list
指定したデータ ポートの許可 VLAN をパケット キャプチャに指定します。データ ポートでトラフィックをキャプチャする前に、 intrusion-detection module module_number data-port {1 | 2} capture コマンドを使用して、データポートでキャプチャ モードをイネーブルにする必要もあります。
– intrusion-detection module module_number data-port {1 | 2} default
指定したデータ ポートの許可 VLAN、自動ステート、PortFast、ポート コスト、およびプライオリティ設定をデフォルト値に戻します。このコマンドは、データ ポートをチャネル グループに追加する前に、データ ポートからすべての設定を削除するときに役立ちます。
– [no] intrusion-detection module module_number data-port {1 | 2}port-channel channel_number
指定したモジュールのデータ ポートをチャネル グループに追加し、同じ数字 ID のポート チャネルを作成します。まだ作成されていない場合、このコマンドで、許可 VLAN リストが空のチャネル グループおよびポート チャネルが作成されます。 no オプションを使用すると、チャネル グループからデータ ポートが削除され、データ ポートの設定がデフォルトに戻り、ポート チャネルが空であれば削除されます。
– [no] intrusion-detection module module_number data-port {1 | 2}portfast {enable | disable} [trunk]
データ ポート上で PortFast をイネーブルまたはディセーブルにします。PortFast をイネーブルにすると、スパニング ツリーの構築中に、スイッチによってトラフィックが IDSM2 データ ポートに転送されます。ディセーブルの場合、ツリーが構築され、バックプレーン ポートがフォワーディング ステートになるまで、トラフィックは拒否されます。デフォルトではディセーブルになっています。trunk オプションは、データ ポートがトランク(無差別モードまたはインライン VLAN ペア モード)として設定されているときに、PortFast をイネーブルまたはディセーブルにします。
– [no] intrusion-detection module module_number data-port {1 | 2} spanning-tree cost path_cost
指定したモジュールのデータ ポートのスパニング ツリー パス コストを設定します。 no オプションを使用すると、指定したモジュールのデータ ポートのスパニング ツリー コストがデフォルト コスト値に戻ります。
– [no] intrusion-detection module module_number data-port {1 | 2} trunk allowed-vlan vlan_list
指定したモジュールのデータ ポートをトランキング モードに設定し、データ ポートの許可 VLAN リストを設定します。 no オプションを使用すると、指定したモジュールのデータ ポートがトランキング モードから削除され、データ ポートの許可 VLAN リストがクリアされます。
– intrusion-detection module module_number management-port access-vlan vlan_number
IDSM2 コマンド/コントロール ポートのアクセス VLAN を設定します。
– intrusion-detection module module_number data-port data_port_number capture allowed-vlan allowed_capture_vlan(s)
– intrusion-detection module module_number data-port data_port_number capture
指定した IDSM2 データ ポートの VACL キャプチャをイネーブルにします。
– [ no ] intrusion-detection port-channel channel_number access vlan vlan_id
指定したポート チャネルのすべてのデータ ポートをアクセス モードに設定し、データ ポートのアクセス VLAN を設定します。 no オプションを使用すると、指定したポート チャネルのすべてのモジュールのデータ ポートの許可 VLAN リストがクリアされます。
– [no ] intrusion-detection port-channel channel_number autostate include
指定したポート チャネルのすべてのデータ ポートを自動ステートの計算に含めるか、計算から除外します。含めた場合、データ ポートがイネーブルの間、MSFC または WLAN ポートに関連付けられた仮想スイッチ インターフェイスは稼動状態のままになります。除外した場合、データ ポートが VLAN で唯一のアクティブ ポートの場合に、MSFC または WAN ポートに関連付けられた仮想スイッチ インターフェイスがダウンします。デフォルトでは、データ ポートは自動ステートの計算から除外されます。
– [no] intrusion-detection port-channel channel_number capture
チャネル グループのすべてのデータ ポートをキャプチャ ポートとして設定します。 no オプションを使用すると、チャネル グループのすべてのデータ ポートで、キャプチャ機能がディセーブルになります。
– [ no ] intrusion-detection port-channel channel_number capture allowed-vlan vlan_id
指定したポート チャネルのすべてのモジュールのデータ ポートで、キャプチャ VLAN リストを設定します。このコマンドでは、チャネル グループがキャプチャ モードに設定されません。チャネル グループをキャプチャ モードに設定するには、 intrusion-detection port-channel channel_number capture コマンドを使用します。 no オプションを使用すると、指定したポート チャネルのすべてのモジュールのデータ ポートのキャプチャ VLAN リストがクリアされます。
– [no ] intrusion-detection port-channel channel_number portfast {enable | disable} [trunk]
ポートチャネルのデータ ポート上で PortFast をイネーブルまたはディセーブルにします。PortFast をイネーブルにすると、スパニング ツリーの構築中に、スイッチによってトラフィックがデータ ポートに転送されます。ディセーブルの場合、ツリーが構築され、バックプレーン ポートがフォワーディング ステートになるまで、トラフィックは拒否されます。データ ポートがトランク(無差別モードまたはインライン VLAN ペア モード)として設定されているときに、PortFast をイネーブルまたはディセーブルにするには、 trunk オプションを使用します。データ ポートがアクセス ポート(インライン モード)として設定されているときは、 trunk オプションを使用しないでください。portfast および portfast trunk オプションは、デフォルトでディセーブルになっています。
– [ no ] intrusion-detection port-channel channel_number spanning-tree cost port_cost
指定したモジュールのデータ ポートのスパニング ツリー ポート コストを設定します。 no オプションを使用すると、指定したモジュールのデータ ポートのスパニング ツリー ポート コストがデフォルト値に戻ります。
– [ no ] intrusion-detection port-channel channel_number spanning-tree priority priority
指定したモジュールのデータ ポートのスパニング ツリー ポート プライオリティを設定します。 no オプションを使用すると、指定したモジュールのデータ ポートのスパニング ツリー ポート プライオリティがデフォルト値に戻ります。
– [ no ] intrusion-detection port-channel channel_number trunk allowed-vlan vlan_id
指定したポート チャネルのすべてのモジュールのデータ ポートで、許可 VLAN リストを設定します。 no オプションを使用すると、指定したポート チャネルのすべてのモジュールのデータ ポートの許可 VLAN リストがクリアされます。
– ip access-list extended word
– [no] monitor session session_number destination intrusion-detection module module_number data-port {1 | 2}
SPAN 宛先ポートを設定します。標準ラインカード ポートまたは IDSM2 データ ポートを設定できます。
– [no] monitor session session_number { source { interface interface_number } | { vlan vlan_id }} [ , | - | rx | tx | both ]
– [no] power enable module module_number
– [no] spanning tree mode {pvst | mst | rapid-pvst}
スイッチでグローバルに使用するスパニング ツリー プロトコル(PVST+、MST、または Rapid-PVST+)を選択します。デフォルトは PVST です。MST は IDSM2 ではサポートされません。 no オプションを使用すると、スパニング ツリー モードがデフォルトに戻ります。
– vlan access-map map_name_sequence
– vlan filter map_name vlan-list vlans
– switchport trunk allowed vlan vlans
– switchport trunk encapsulation dot1q
– switchport trunk native vlan vlan
フィードバック